Edge สำหรับ Private Cloud v4.18.05
คุณจะรีเซ็ตรหัสผ่าน OpenLDAP, Apigee Edge, ผู้ใช้องค์กร Edge และรหัสผ่าน Cassandra ได้หลังจากที่การติดตั้งเสร็จสมบูรณ์แล้ว
รีเซ็ตรหัสผ่าน OpenLDAP
OpenLDAP จะติดตั้งได้ในรูปแบบต่อไปนี้ ทั้งนี้ขึ้นอยู่กับการกำหนดค่า Edge
- อินสแตนซ์เดี่ยวของ OpenLDAP ที่ติดตั้งในโหนดเซิร์ฟเวอร์การจัดการ เช่น ในการกำหนดค่า 2 โหนด 5 โหนด หรือ 9 โหนด Edge
- มีการติดตั้งอินสแตนซ์ OpenLDAP หลายรายการบนโหนดเซิร์ฟเวอร์การจัดการที่กำหนดค่าด้วยการจำลอง OpenLDAP เช่น ในการกำหนดค่า Edge 12 โหนด
- อินสแตนซ์ OpenLDAP หลายรายการที่ติดตั้งบนโหนดของตนเอง ซึ่งมีการกำหนดค่าด้วยการจำลอง OpenLDAP เช่น ในการกำหนดค่า Edge 13 โหนด
วิธีการรีเซ็ตรหัสผ่าน OpenLDAP จะขึ้นอยู่กับการกำหนดค่าของคุณ
สำหรับอินสแตนซ์เดี่ยวของ OpenLDAP ที่ติดตั้งในเซิร์ฟเวอร์การจัดการ ให้ดำเนินการดังต่อไปนี้
- ในโหนดเซิร์ฟเวอร์การจัดการ ให้เรียกใช้คำสั่งต่อไปนี้เพื่อสร้างรหัสผ่าน OpenLDAP ใหม่:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD
- เรียกใช้คำสั่งต่อไปนี้เพื่อจัดเก็บรหัสผ่านใหม่สำหรับการเข้าถึงโดยเซิร์ฟเวอร์การจัดการ:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD
คำสั่งนี้จะรีสตาร์ทเซิร์ฟเวอร์การจัดการ
ในการตั้งค่าการจำลอง OpenLDAP ที่ติดตั้ง OpenLDAP ในโหนดเซิร์ฟเวอร์การจัดการ ให้ทำตามขั้นตอนข้างต้นในโหนดเซิร์ฟเวอร์การจัดการทั้ง 2 โหนดเพื่ออัปเดตรหัสผ่าน
ในการตั้งค่าการจำลอง OpenLDAP ที่มี OpenLDAP อยู่ในโหนดอื่นที่ไม่ใช่เซิร์ฟเวอร์การจัดการ ให้ตรวจสอบว่าคุณเปลี่ยนรหัสผ่านในโหนด OpenLDAP ทั้ง 2 โหนดก่อน แล้วจึงเปลี่ยนรหัสผ่านในโหนดเซิร์ฟเวอร์การจัดการทั้ง 2 โหนด
รีเซ็ตรหัสผ่านของผู้ดูแลระบบ
การรีเซ็ตรหัสผ่านของผู้ดูแลระบบกำหนดให้คุณต้องรีเซ็ตรหัสผ่านใน 2 ตำแหน่งต่อไปนี้
- เซิร์ฟเวอร์การจัดการ
- UI
วิธีรีเซ็ตรหัสผ่านของผู้ดูแลระบบ
- ในโหนด UI ให้หยุด Edge UI ดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- ในเซิร์ฟเวอร์การจัดการ ให้เรียกใช้คำสั่งต่อไปนี้เพื่อรีเซ็ตรหัสผ่าน
/opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
- แก้ไขไฟล์การกำหนดค่าเงียบที่คุณใช้ติดตั้ง Edge UI เพื่อตั้งค่าคุณสมบัติต่อไปนี้
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
โปรดทราบว่าคุณต้องใส่พร็อพเพอร์ตี้ SMTP เมื่อส่งรหัสผ่านใหม่เนื่องจากระบบจะรีเซ็ตพร็อพเพอร์ตี้ทั้งหมดใน UI
- ใช้ยูทิลิตี
apigee-setup
เพื่อรีเซ็ตรหัสผ่านใน Edge UI จากไฟล์การกำหนดค่า:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (เฉพาะในกรณีที่เปิดใช้ TLS ใน UI เท่านั้น) เปิดใช้ TLS ใน UI ของ Edge อีกครั้งตามที่อธิบายไว้ในการกำหนดค่า TLS สำหรับ UI การจัดการ
ในสภาพแวดล้อมการจำลอง OpenLDAP ที่มีเซิร์ฟเวอร์การจัดการหลายเซิร์ฟเวอร์ การรีเซ็ตรหัสผ่านในเซิร์ฟเวอร์การจัดการหนึ่งจะอัปเดตเซิร์ฟเวอร์การจัดการอื่นโดยอัตโนมัติ แต่คุณจะต้องอัปเดตโหนด Edge UI ทั้งหมดแยกกัน
รีเซ็ตรหัสผ่านของผู้ใช้ขององค์กร
หากต้องการรีเซ็ตรหัสผ่านสำหรับผู้ใช้ขององค์กร ให้ใช้ยูทิลิตี apigee-service
เพื่อเรียกใช้ apigee-setup
โดยทำดังนี้
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
เช่น
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword
ด้านล่างนี้เป็นตัวอย่างไฟล์การกำหนดค่าที่คุณใช้กับตัวเลือก "-f" ได้
USER_NAME= user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
คุณยังใช้ API อัปเดตผู้ใช้เพื่อเปลี่ยนรหัสผ่านของผู้ใช้ได้ด้วย
กฎรหัสผ่านของผู้ใช้ขององค์กรและ SysAdmin
ใช้ส่วนนี้เพื่อบังคับใช้ความยาวและความรัดกุมของรหัสผ่านที่ต้องการสำหรับผู้ใช้การจัดการ API การตั้งค่าจะใช้ชุดนิพจน์ทั่วไปที่กำหนดค่าไว้ล่วงหน้า (และหมายเลขที่ไม่ซ้ำกัน) เพื่อตรวจสอบเนื้อหาของรหัสผ่าน (เช่น ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์พิเศษ) เขียนการตั้งค่าเหล่านี้ลงในไฟล์ /opt/apigee/customer/application/management-server.properties
หากไม่มีไฟล์ดังกล่าว ให้สร้างขึ้นมา
หลังจากแก้ไข management-server.properties
ให้รีสตาร์ทเซิร์ฟเวอร์การจัดการ:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
จากนั้นคุณจะตั้งค่าการจัดประเภทระดับความปลอดภัยของรหัสผ่านได้โดยจัดกลุ่มนิพจน์ทั่วไปต่างๆ เข้าด้วยกัน ตัวอย่างเช่น คุณระบุได้ว่ารหัสผ่านที่มีอักษรตัวพิมพ์ใหญ่อย่างน้อย 1 ตัวและตัวอักษรพิมพ์เล็กอย่างน้อย 1 ตัวจะมีระดับความรัดกุมเป็น "3" แต่รหัสผ่านที่มีอักษรตัวพิมพ์เล็กอย่างน้อย 1 ตัวและตัวเลข 1 ตัวจะมีระดับ "4" สูงกว่า
พร็อพเพอร์ตี้ | คำอธิบาย |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
ใช้ข้อมูลนี้เพื่อพิจารณาลักษณะโดยรวมของรหัสผ่านที่ถูกต้อง การจัดประเภทขั้นต่ำเริ่มต้นสำหรับระดับความปลอดภัยของรหัสผ่าน (อธิบายไว้ภายหลังในตาราง) คือ 3 โปรดสังเกตว่า Password.Validation.default.rating=2 จะต่ำกว่าการจัดประเภทขั้นต่ำที่กำหนด ซึ่งหมายความว่าหากรหัสผ่านที่ป้อนอยู่นอกเหนือกฎที่คุณกำหนดค่าไว้ รหัสผ่านจะได้รับการจัดอันดับเป็น 2 ดังนั้นจะไม่สามารถใช้ได้ (ต่ำกว่าการจัดประเภทขั้นต่ำที่ 3) |
ต่อไปนี้เป็นนิพจน์ทั่วไปที่ระบุลักษณะของรหัสผ่าน โปรดทราบว่าแต่ละรายการจะมีหมายเลขกำกับ เช่น |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: ใช้อักขระทั้งหมดซ้ำ |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: ตัวอักษรพิมพ์เล็กอย่างน้อย 1 ตัว |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: ตัวอักษรพิมพ์ใหญ่อย่างน้อย 1 ตัว |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: ตัวเลขอย่างน้อย 1 หลัก |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: สัญลักษณ์พิเศษอย่างน้อย 1 ตัว (ไม่รวมขีดล่าง _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: ขีดล่างอย่างน้อย 1 ตัว |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: ตัวอักษรพิมพ์เล็กมากกว่า 1 ตัว |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: ตัวอักษรพิมพ์ใหญ่มากกว่า 1 ตัว |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: ตัวเลขมากกว่า 1 หลัก |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: มีสัญลักษณ์พิเศษมากกว่า 1 ตัว (ไม่รวมขีดล่าง) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: ขีดล่างมากกว่า 1 ตัว |
กฎต่อไปนี้จะกำหนดระดับความปลอดภัยของรหัสผ่านตามเนื้อหาของรหัสผ่าน กฎแต่ละข้อจะมีนิพจน์ทั่วไปอย่างน้อย 1 นิพจน์จากส่วนก่อนหน้า และกำหนดระดับตัวเลขให้เป็นตัวเลข ระดับความปลอดภัยของรหัสผ่านจะนำมาเปรียบเทียบกับตัวเลข conf_security_password.Validation.minimum.rating.required ที่ด้านบนของไฟล์นี้เพื่อพิจารณาว่ารหัสผ่านถูกต้องหรือไม่ |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
กฎแต่ละข้อจะมีลำดับเลข เช่น กฎแต่ละข้อจะใช้รูปแบบต่อไปนี้ (ด้านขวาของเครื่องหมายเท่ากับ) regex-index-list,[AND|OR],rating regex-index-list คือรายการนิพจน์ทั่วไป (ตามตัวเลขจากส่วนก่อนหน้า) พร้อมด้วยโอเปอเรเตอร์ rating คือตัวเลขระดับความรัดกุมที่ให้กับกฎแต่ละข้อ เช่น กฎ 5 หมายความว่ารหัสผ่านที่มีสัญลักษณ์พิเศษอย่างน้อย 1 ตัวหรือขีดล่าง 1 ตัวจะได้รับระดับความรัดกุม 4 เมื่อใช้ |
conf_security_rbac.password.validation.enabled=true |
ตั้งค่าการตรวจสอบรหัสผ่านการควบคุมการเข้าถึงตามบทบาทเป็น "เท็จ" เมื่อเปิดใช้การลงชื่อเพียงครั้งเดียว (SSO) ค่าเริ่มต้นคือ จริง |
กำลังรีเซ็ตรหัสผ่าน Cassandra
โดยค่าเริ่มต้น Cassandra จะปิดใช้การตรวจสอบสิทธิ์ หากเปิดใช้การตรวจสอบสิทธิ์ ระบบจะใช้ผู้ใช้ที่กำหนดไว้ล่วงหน้าชื่อ "cassandra" พร้อมรหัสผ่าน "cassandra" คุณสามารถใช้บัญชีนี้ ตั้งรหัสผ่านอื่นสำหรับบัญชีนี้ หรือสร้างผู้ใช้ Cassandra ใหม่ เพิ่ม นําออก และแก้ไขผู้ใช้โดยใช้คําสั่ง Cassandra CREATE/ALTER/DROP USER
สำหรับข้อมูลเกี่ยวกับวิธีเปิดใช้การตรวจสอบสิทธิ์ Cassandra โปรดดูเปิดใช้การตรวจสอบสิทธิ์ Cassandra
หากต้องการรีเซ็ตรหัสผ่าน Cassandra คุณต้องดำเนินการดังนี้
- ตั้งรหัสผ่านบนโหนด Cassandra โหนดใดโหนดหนึ่งซึ่งจะกระจายไปยังโหนด Cassandra ทั้งหมดในริง
- อัปเดตเซิร์ฟเวอร์การจัดการ, ตัวประมวลผลข้อความ, เราเตอร์, เซิร์ฟเวอร์ Qpid และเซิร์ฟเวอร์ Postgres ในแต่ละโหนดด้วยรหัสผ่านใหม่
ดูข้อมูลเพิ่มเติมได้ที่ http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html
วิธีรีเซ็ตรหัสผ่าน Cassandra
- เข้าสู่ระบบโหนด Cassandra โหนดใดก็ได้โดยใช้เครื่องมือ
cqlsh
และข้อมูลเข้าสู่ระบบเริ่มต้น คุณต้องเปลี่ยนรหัสผ่านในโหนด Cassandra โหนดเดียวเท่านั้น แล้วระบบจะเผยแพร่โหนดไปยังโหนด Cassandra ทั้งหมดในริง:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
โดยที่
cassIP
คือที่อยู่ IP ของโหนด Cassandra9042
คือพอร์ต Cassandra- ผู้ใช้เริ่มต้นคือ
cassandra
- รหัสผ่านเริ่มต้นคือ
cassandra
หากคุณเปลี่ยนรหัสผ่านก่อนหน้านี้ ให้ใช้รหัสผ่านปัจจุบัน
- เรียกใช้คำสั่งต่อไปนี้เป็นพรอมต์
cqlsh>
เพื่ออัปเดตรหัสผ่านALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
หากรหัสผ่านใหม่ประกอบด้วยอักขระเครื่องหมายคำพูดเดี่ยว ให้หลีกโดยใช้อักขระเครื่องหมายคำพูดตัวเดียวนำหน้าอักขระนั้น
- ออกจากเครื่องมือ
cqlsh
:exit
- ในโหนด Management Server ให้เรียกใช้คำสั่งต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
นอกจากนี้ คุณยังส่งไฟล์ไปยังคำสั่งที่มีชื่อผู้ใช้และรหัสผ่านใหม่ได้ดังนี้
apigee-service edge-management-server store_cassandra_credentials -f configFile
เมื่อ configFile มีข้อมูลต่อไปนี้
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD=CASS_PASSWROD
คำสั่งนี้จะรีสตาร์ทเซิร์ฟเวอร์การจัดการโดยอัตโนมัติ
- ทำซ้ำขั้นตอนที่ 4 ในกรณีต่อไปนี้
- ตัวประมวลผลข้อความทั้งหมด
- เราเตอร์ทั้งหมด
- เซิร์ฟเวอร์ Qpid ทั้งหมด (edge-qpid-server)
- เซิร์ฟเวอร์ Postgres (edge-postgres-server)
เปลี่ยนรหัสผ่าน Cassandra แล้ว
การรีเซ็ตรหัสผ่าน PostgreSQL
โดยค่าเริ่มต้น ฐานข้อมูล PostgreSQL จะมีผู้ใช้ 2 รายที่กำหนดไว้ ได้แก่ "postgres" และ "apigee" ผู้ใช้ทั้ง 2 ฝ่ายมีรหัสผ่านเริ่มต้นเป็น "Postgres" ใช้ขั้นตอนต่อไปนี้เพื่อเปลี่ยนรหัสผ่านเริ่มต้น
เปลี่ยนรหัสผ่านในโหนดหลักของ Postgres ทั้งหมด หากมีเซิร์ฟเวอร์ Postgres 2 เครื่องที่กำหนดค่าไว้ในโหมดหลัก/สแตนด์บาย ก็เพียงแค่เปลี่ยนรหัสผ่านบนโหนดหลักเท่านั้น ดูข้อมูลเพิ่มเติมได้ที่ตั้งค่าการจำลองในโหมด Master-Standby สำหรับ Postgres
- ในโหนด Master Postgres ให้เปลี่ยนไดเรกทอรีเป็น
/opt/apigee/apigee-postgresql/pgsql/bin
- ตั้งรหัสผ่านผู้ใช้ "postgreSQL"
- เข้าสู่ระบบฐานข้อมูล PostgreSQL โดยใช้คำสั่ง:
psql -h localhost -d apigee -U postgres
- เมื่อได้รับข้อความแจ้ง ให้ป้อนรหัสผ่านของผู้ใช้ "postgres" เป็น "postgres"
- ป้อนคำสั่งต่อไปนี้เพื่อเปลี่ยนรหัสผ่านเริ่มต้นในพรอมต์คำสั่ง PostgreSQL
ALTER USER postgres WITH PASSWORD 'apigee1234';
- ออกจากฐานข้อมูล PostgreSQL โดยใช้คำสั่ง:
\q
- เข้าสู่ระบบฐานข้อมูล PostgreSQL โดยใช้คำสั่ง:
- ตั้งรหัสผ่านผู้ใช้ "apigee" ของ PostgreSQL
- เข้าสู่ระบบฐานข้อมูล PostgreSQL โดยใช้คำสั่ง:
psql -h localhost -d apigee -U apigee
- เมื่อได้รับข้อความแจ้ง ให้ป้อนรหัสผ่านของผู้ใช้ "apigee" เป็น "postgres"
- ป้อนคำสั่งต่อไปนี้เพื่อเปลี่ยนรหัสผ่านเริ่มต้นในพรอมต์คำสั่ง PostgreSQL
ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';
- ออกจากฐานข้อมูล PostgreSQL โดยใช้คำสั่ง:
\q
- เข้าสู่ระบบฐานข้อมูล PostgreSQL โดยใช้คำสั่ง:
- ตั้งค่า
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- เข้ารหัสรหัสผ่านใหม่:
sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
คำสั่งนี้จะส่งคืนรหัสผ่านที่เข้ารหัสดังที่แสดงด้านล่าง รหัสผ่านที่เข้ารหัสจะเริ่มต้นหลังอักขระ ":" และจะไม่มี ":"
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- อัปเดตโหนดของเซิร์ฟเวอร์การจัดการด้วยรหัสผ่านที่เข้ารหัสใหม่สำหรับผู้ใช้ "postgres" และ "apigee"
- ในเซิร์ฟเวอร์การจัดการ ให้เปลี่ยนไดเรกทอรีเป็น
/opt/apigee/customer/application
- แก้ไขไฟล์
management-server.properties
เพื่อตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้ หากไม่มีไฟล์นี้ ให้สร้างขึ้นมา - ตรวจสอบว่าผู้ใช้ "apigee" เป็นเจ้าของไฟล์หรือไม่:
chown apigee:apigee management-server.properties
- ในเซิร์ฟเวอร์การจัดการ ให้เปลี่ยนไดเรกทอรีเป็น
- อัปเดตเซิร์ฟเวอร์ Postgres และโหนดเซิร์ฟเวอร์ Qpid ทั้งหมดด้วยรหัสผ่านใหม่ที่เข้ารหัส
- ในโหนด Server Postgres หรือโหนดเซิร์ฟเวอร์ Qpid ให้เปลี่ยนไดเรกทอรีเป็น
/opt/apigee/customer/application
- แก้ไขไฟล์ต่อไปนี้ หากยังไม่มีไฟล์เหล่านี้ ให้สร้างขึ้นมาโดยทำดังนี้
postgres-server.properties
qpid-server.properties
- เพิ่มพร็อพเพอร์ตี้ต่อไปนี้ลงในไฟล์
- ตรวจสอบว่าผู้ใช้ "apigee" เป็นเจ้าของไฟล์หรือไม่
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- ในโหนด Server Postgres หรือโหนดเซิร์ฟเวอร์ Qpid ให้เปลี่ยนไดเรกทอรีเป็น
- รีสตาร์ทคอมโพเนนต์ต่อไปนี้ตามลำดับ
- ฐานข้อมูล PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- เซิร์ฟเวอร์ Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- เซิร์ฟเวอร์ Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- เซิร์ฟเวอร์การจัดการ:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- ฐานข้อมูล PostgreSQL: